Pakete mit der falschen DST-Mac empfangen

[Wordo 11]

Ja, aber nehmen wir mal:

2 3.276665000 213.68.169.44 192.168.100.178 TCP lavenir-lm > http [sYN] Seq=320944056 Win=65535[Malformed Packet]

 

Die DST-MAC ist "Dst: HewlettP_76:4e:94 (18:a9:05:76:4e:94)", ist die auf dem Switch bekannt? Wenn nein, ist der Flood ja OK.

[Kartfahrer 10]

Die IP vom 192.168.100.178 is ein Server der is immer an und die MAC- is auch an einem anderem Port bekannt.

[Otaku19 33]

oha, geht ja mit wireshark auf:)

 

aber grade eben dieser Server ist doch genau das richtige um zu sehen das alles passt, im capture tauchen genau 2 pakete auf, die sind über 13 Sekunden voneinander "entfernt", beides SYNs

 

was mir komisch vorkommt sind diese IPin IP Pakete, die kommen rasend schnell daher, weiß nicht ob das Zielsystem da genug Zeit hatte zu reagieren

[daking 10]

Hi,

 

komisches Capture File. Mit welchem Tool haste das File erzeugt und mit welchen Einstellungen. CapLen begrenzt? (und auf dem testlaptop facebook offen - :-))

 

Wenn du diesen Traffic an jeden Port siehst - ist das def nicht ok.

 

Nun zur Analyse

- welche Module/SUP sind im Einsatz (DFC/CFC)

- welche Aufgaben hat hier der 6k? (rein l2/l3 - services)

- was sagt sh spann det für dieses vlan (werden hier die tc hochgezählt)

- was sagt sh mac-address detail|all für die gefluteten mac adressen?

- was sagt sh mac-address count ?

- was sagt sh vlan virt slot x (alle slots)

 

@Otaku: hier wird max 10kbit/s und max 10pps generiert. Sollte kein Problem sein.

 

ciao

[Otaku19 33]

ich meinte die Abfolge wie knapp die Pakete hintereinander auftauchen, stell die Ansicht im Wireshark mal um, dann siehst du das die recht knapp aufeinander folgen

[Kartfahrer 10]

Hi,

 

komisches Capture File. Mit welchem Tool haste das File erzeugt und mit welchen Einstellungen. CapLen begrenzt? (und auf dem testlaptop facebook offen - :-))

 

:D in welcher Zeile war denn das zu sehen? Peinlich Peinlich

 

Danke das mich endlich mal jemand ganz klar darin bestätigt das es nicht OK is das ich die Packete sehe.

 

Und jetzt noch kurz zu deinen Fragen:

 

Cat6509#sh module

Mod Ports Card Type Model Serial No.

--- ----- -------------------------------------- ------------------ -----------

1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE

2 2 Catalyst 6000 supervisor 2 (Warm) WS-X6K-SUP2-2GE

3 16 16 port 1000mb GBIC ethernet WS-X6416-GBIC

4 16 16 port 1000mb GBIC ethernet WS-X6416-GBIC

5 48 48 port 10/100 mb RJ45 WS-X6348-RJ-45

6 48 48 port 10/100/1000mb EtherModule WS-X6148-GE-TX

 

Mod MAC addresses Hw Fw Sw Status

--- ---------------------------------- ------ ------------ ------------ -------

1 0002.7e27.d98c to 0002.7e27.d98d 2.2 7.1(1) 12.2(18)SXD6 Ok

2 0001.6476.19cc to 0001.6476.19cd 2.2 7.1(1) 12.2(18)SXD6 Ok

3 0003.32bc.5c1f to 0003.32bc.5c2e 1.2 5.4(2) 8.3(0.156)RO Ok

4 00b0.c2f5.8a50 to 00b0.c2f5.8a5f 1.1 5.3(1) 8.3(0.156)RO Ok

5 0004.de82.0010 to 0004.de82.003f 1.5 5.4(2) 8.3(0.156)RO Ok

6 0003.3235.17d2 to 0003.3235.1801 6.1 7.2(1) 8.3(0.156)RO Ok

 

Mod Sub-Module Model Serial Hw Status

--- --------------------------- ------------------ ------------ ------- -------

1 Policy Feature Card 2 WS-F6K-PFC2 SAD052104LL 1.4 Ok

1 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD052201B8 1.2 Ok

2 Policy Feature Card 2 WS-F6K-PFC2 SAD0521050S 1.4 Ok

2 Cat6k MSFC 2 daughterboard WS-F6K-MSFC2 SAD051805HG 1.2 Ok

 

Der 6509 ist bei uns der zentraler Kontenpunkt in unserem Netz der auch fürs Routing zuständig is. Sonst dient er eigentlich nur noch als Sternverteiler für die Etagenswitches und als Backbornanbindung für die Server.

 

Wenn du bei sh spann det die "Number of topology changes" meintest die bleiben gleich.

Number of topology changes 2113 last change occurred 12:02:36 ago

 

Was den Mac-count angeht haben wir noch weng luft nach oben.:o

Cat6509#sh mac-add cou

MAC Entries for all vlans :

Dynamic Address Count: 425

Static Address (User-defined) Count: 39

Total MAC Addresses In Use: 464

Total MAC Addresses Available: 131072

[Kartfahrer 10]

Teil 2

 

So dann haben wir hier noch die Output von sh vlan virt slot x

 

Cat6509#sh vlan virt slot 1

Slot 1

Port Virtual-ports

-------------------------

Total virtual ports:0

Cat6509#sh vlan virt slot 2

Slot 2

Port Virtual-ports

-------------------------

Total virtual ports:0

Cat6509#sh vlan virt slot 3

Slot 3

Port Virtual-ports

-------------------------

Gi3/1 18

Gi3/2 18

Gi3/3 1

Gi3/4 18

Gi3/5 1

Gi3/6 1

Gi3/7 1

Gi3/8 1

Gi3/13 1

Gi3/15 1

Gi3/16 1

Total virtual ports:62

Cat6509#sh vlan virt slot 4

Slot 4

Port Virtual-ports

-------------------------

Gi4/2 1

Gi4/11 18

Total virtual ports:19

Cat6509#sh vlan virt slot 5

Slot 5

Port Virtual-ports

-------------------------

Fa5/2 1

Fa5/3 1

Fa5/4 1

Fa5/8 1

Fa5/9 1

Fa5/10 1

Fa5/12 1

Fa5/13 1

Fa5/14 1

Fa5/16 1

Fa5/17 1

Fa5/18 1

Fa5/20 1

Fa5/22 1

Fa5/23 1

Fa5/24 1

Fa5/25 1

Fa5/26 1

Fa5/27 1

Fa5/28 1

Fa5/30 1

Fa5/31 1

Fa5/36 1

Fa5/40 1

Fa5/41 1

Fa5/44 1

Fa5/45 1

Fa5/47 1

Fa5/48 1

Total virtual ports:29

Cat6509#sh vlan virt slot 6

Slot 6

Port Virtual-ports

-------------------------

Gi6/2 1

Gi6/3 1

Gi6/4 1

Gi6/5 1

Gi6/6 1

Gi6/7 1

Gi6/8 1

Gi6/9 1

Gi6/10 2

Gi6/11 1

Gi6/12 1

Gi6/13 1

Gi6/14 1

Gi6/15 1

Gi6/16 1

Gi6/17 1

Gi6/18 1

Gi6/19 1

Gi6/21 1

Gi6/22 1

Gi6/23 1

Gi6/24 1

Gi6/25 1

Gi6/27 1

Gi6/28 18

Gi6/29 1

Gi6/30 1

Gi6/33 2

Gi6/36 1

Gi6/37 1

Gi6/45 18

Gi6/46 18

Gi6/47 1

Total virtual ports:86

 

 

Was du hier allerdings genau für infos wolltest weiß ich leider net.

- was sagt sh mac-address detail|all für die gefluteten mac adressen?

 

Aber wie vielleicht siehst, an einer Überlastung von der Kiste sollte es nicht liegen. Und danke schonmal vorab für deine Hilfe und die von allen anderen natürlich auch.

[Otaku19 33]

mit "komisches capture file" wird aber ganz sicher nicht dein "Magengefühl" bestätigt :)

[Kartfahrer 10]

mit "komisches capture file" wird aber ganz sicher nicht dein "Magengefühl" bestätigt :)

 

womit könnte es denn dann bestätigt werden? :confused:

[Otaku19 33]

mit genauem troubleshooting

[daking 10]

Hi,

 

ok - die Frage ist nun wo die MAC gelernt wird oder ob diese gelernt wurde. Also für die gefluteten mac addr mal sh mac-addr <x.x.x.x> vlan x. Auf der SUP2 sollte es ebenfalls sh mac-add unicast-flo geben, dann sollte im log jedoch ebenfalls eine meldung ausgegeben werden. Ist dies ein permanentes flooding oder tritt es in intervallen auf? Mehr Info über das Setup macht immer Sinn - also kurze skizze.

 

ciao

[Kartfahrer 10]

Sorry für die verspätete Antwort, aber momentan is weng stressig bei mir.

Also ich glaub ich bin wegen dem Problem weng weiter gekommen. Es ist nämlich so, die Global Aging Time ist bei uns standardmässig auf 300 Sekunden eingestellt. Zusätzlich hab ich ihn nochmal extra in einem Vlan auf 500 Sekunden gesetzt.

wenn ich dann mit "sh mac-address-table vlan 100 | inc xxxx.xxxx.xxxx" verfolgt hab wie lang der Switch die Mac kennt waren das bei weitem keine 300 - 500 Sekunden sondern nur 90.

 

Den Befehl "sh mac-address-table unicast-flood" gibts.

Unicast Flood Protection status: disabled